-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
在 NetScaler 设备与 Fortinet FortiGate 设备之间配置 CloudBridge Connector 通道
-
CloudBridge Connector 互操作性 — F5 BIG-IP
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
CloudBridge Connector 互操作性 — F5 BI
您可以在 NetScaler 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 连接器通道,以连接两个数据中心或将您的网络扩展到云提供商。NetScaler 设备和 F5 BIG-IP 设备构成 CloudBridge Connector 通道的端点,被称为对等体。
CloudBridge Connector 通道配置示例
举例说明 CloudBridge Connector 通道中的流量,请看一个在以下设备之间设置 CloudBridge Connector 通道的示例:
- NetScaler 设备 NS_Appliance-1 位于指定为 Datacenter-1 的数据中心中
- F5 BIG-IP 设备 f5-BIG-IP-Appliance-1 位于指定为 Datacenter-2 的数据中心
NS_Appliance-1 和 F5-BIG-IP-Appliance-1 允许通过 CloudBridge Connector 通道在 Datacenter-1 和 Datacenter-2 中的专用网络之间进行通信。在示例中,NS_Appliance-1 和 F5-BIG-IP-Appliance-1 通过 CloudBridge Connector 通道在 Datacenter-1 中的客户端 CL1 与 Datacenter-2 中的服务器 S1 之间实现通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。
在 NS_Appliance-1 上,CloudBridge Connector 通道配置包括 IPsec 配置文件实体 NS_F5-BIG-IP_IPSec_Profile、CloudBridge Connector通道实体 NS_F5-BIG-IP_Tunnel 和基于策略的路由 (PBR) 实体 NS_F5-BIG-IP_Pbr。
有关更多信息,请参阅 F5 大 IP pdf。
CloudBridge Connector 通道配置需要考虑的事项
- NetScaler 设备已启动并正在运行,已连接到互联网,还连接到私有子网,这些子网的流量将通过 CloudBridge Connector 通道进行保护。
- F5 BIG-IP 设备已启动并正在运行,已连接到互联网,还连接到私有子网,这些子网的流量将通过 CloudBridge Connector 通道进行保护。
- NetScaler 设备和 F5 BIG-IP 设备之间的 CloudBridge Connector 通道支持以下 IPsec 设置。
- IPsec 模式:通道模式
- IKE 版本:版本 1
- IKE 身份验证方法:预共享密钥
- IKE 加密算法:AES
- IKE 哈希算法:HMAC SHA1
- ESP 加密算法:AES
- ESP 哈希算法:HMAC SHA1
- 您必须在 CloudBridge Connector 通道两端的 NetScaler 设备和 F5 BIG-IP 设备上指定相同的 IPsec 设置。
- NetScaler 提供了一个通用参数(在 IPsec 配置文件中),用于指定 IKE 哈希算法和 ESP 哈希算法。它还提供了另一个用于指定 IKE 加密算法和 ESP 加密算法的常用参数。 因此,在 F5 BIG-IP 设备中,必须在 IKE(第 1 阶段配置)和 ESP(第 2 阶段配置)中指定相同的哈希算法和相同的加密算法。
- 您必须在 NetScaler 端和 F5 BIG-IP 端配置防火墙才能允许执行以下操作。
- 端口 500 的任何 UDP 数据包
- 端口 4500 的任何 UDP 数据包
- 任何 ESP(IP 协议编号 50)数据包
为 CloudBridge Connector 通道配置 F5 BIG-IP
要在 NetScaler 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector通道,请在 F5 BIG-IP 设备上执行以下任务:
- 为 IPsec 创建转发虚拟服务器。转发虚拟服务器截取 IPsec 通道的 IP 流量。
- 创建 IKE 对等体。IKE 对等体指定本地和远程 IPsec 通道端点。它还指定了用于 IPsec IKE 第 1 阶段的算法和证书。
- 创建自定义 IPsec 策略。策略指定了用于构建 IPsec 通道的 IPsec 协议 (ESP) 和模式(通道)。它还指定了用于 IKE IPsec 第 2 阶段的算法和安全参数。
- 创建双向 IPsec 流量选择器。流量选择器指定 F5 BIG-IP 端和 NetScaler 端子网,其 IP 流量将通过 IPsec 通道。
在 F5 BIG-IP 设备上配置 IPsec VPN(CloudBridge Connector 通道)的过程可能会随着时间的推移而发生变化,具体取决于 F5 的发布周期。Citrix 建议您按照 F5 BIG-IP 官方文档配置 IPsec VPN 通道,网址为:
使用 F5 BIG-IP GUI 为 IPsec 创建转发虚拟服务器
- 在 主 选项卡上,单击“本地流量”>“虚拟服务器”,然后单击“创建”。
- 在“新建虚拟服务器列表”屏幕上,设置以下参数:
- 名称。键入虚拟服务器的唯一名称。
- 类型。选择 转发 (IP)。
- 目的地地址。输入 CIDR 格式的通配符网络地址,例如,IPv4 的 0.0.0.0/0 以接受任何流量。
- 服务端口。从列表中选择 所有端口 。
- 协议清单。从列表中选择 所有协议 。
- VLAN 和通道流量。保留默认选择“所有 VLAN 和通道”。
- 单击“完成”。
使用 F5 BIG-IP GUI 创建自定义 IPsec 策略
- 在主选项卡上,单击网络>IPsec>IPsec 策略,然后单击创建。
- 在“新策略”屏幕上,设置以下参数:
- 名称。为策略键入一个唯一的名称。
- IPsec 协议。保留默认选择,特别是。
- 模式。选择“通道”。屏幕刷新以显示其他相关设置。
- 通道本地地址。键入本地 IPsec 通道端点 IP 地址(在 F5 BIG-IP 设备上配置)。
- 通道远程地址。键入远程 IPsec 通道端点 IP 地址(在 NetScaler 设备上配置)。
- 对于 IKE 第 2 阶段参数,保留默认值,或选择适合您的部署的选项。
- 单击“完成”。
使用 F5 BIG-IP GUI 创建双向 IPsec 流量选择器
- 在主选项卡上,单击网络>IPsec>流量选择器,然后单击创建。
- 在“新流量选择器”屏幕上,设置以下参数:
- 名称。为流量选择器键入一个唯一的名称。
- 命令。保留默认值 (第一个)。此设置指定流量选择器在流量选择器列表屏幕上的显示顺序。
- 从“配置”列表中选择“高级”,然后设置以下参数:
- 来源 IP 地址。单击“主机”或“网络”,然后在“地址”字段中键入 F5 BIG-IP 端子网的地址,该子网的流量将通过 IPsec 通道进行保护。
- 源端口。选择 * 所有端口。
- 目标 IP 地址。单击“主机”,然后在“地址”字段中键入 NetScaler 端子网的地址,该子网的流量将通过 IPsec 通道进行保护。
- 目标端口。选择 * 所有端口。
- 协议。选择 * 所有协议。
- 方向。选择 两者。
- 操作。选择“保护”。将出现 IPsec 策略名称 设置。
- IPsec 策略名称。选择您创建的自定义 IPsec 策略的名称。
- 单击“完成”。
为 CloudBridge Connector 通道配置 NetScaler 设备
要在 NetScaler 设备和 F5 BIG-IP 设备之间配置 CloudBridge Connector 通道,请在 NetScaler 设备上执行以下任务。您可以使用 NetScaler 命令行或 NetScaler 图形用户界面 (GUI):
- 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 IPsec 协议在 CloudBridge Connector 通道中使用的身份验证方法。
- 创建使用 IPsec 协议的 IP 通道,并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(在 NetScaler 设备上配置的 CloudBridge Connector 通道端点 IP 地址(SNIP 类型))、远程 IP 地址(在 F5 BIG-IP 设备上配置的 CloudBridge Connector 通道端点 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
- 创建 PBR 规则并将其与 IP 通道关联。PBR 实体指定一组规则和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 地址范围是 PBR 实体的条件。设置源 IP 地址范围以指定要通过通道保护流量的 NetScaler 端子网,并设置目标 IP 地址范围以指定要通过通道保护流量的 F5 BIG-IP 端子网。
使用 NetScaler 命令行创建 IPSEC 配置文件
在命令提示符下,键入:
add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecyENABLEshow ipsec profile** <name>
使用 NetScaler 命令行创建 IPSEC 通道并将 IPSEC 配置文件绑定到该通道
在命令提示符下,键入:
add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>show ipTunnel <name>
使用 NetScaler 命令行创建 PBR 规则并将 IPSEC 通道绑定到该规则
在命令提示符下,键入:
add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>apply pbrsshow pbr <pbrName>
使用 GUI 创建 IPSEC 配置文件
- 导航到 系统 > CloudBridge Connector > IPsec 配置文件。
- 在详细信息窗格中,单击“添加”。
- 在 添加 IPsec 配置文件 页面中,设置以下参数:
- 名称
- 加密算法
- 哈希算法
- IKE 协议版本
- 配置 IPsec 身份验证方法,供两个 CloudBridge Connector 通道对等体进行相互身份验证:选择 预共享密钥身份验证方法 并设置 预共享 密钥存在参数。
- 单击“创建”,然后单击“关闭”。
使用 GUI 创建 IP 通道并将 IPSEC 配置文件绑定到该通道
- 导航到 系统 > CloudBridge Connector > IP 通道。
- 在 IPv4 通道 选项卡上,单击 添加。
- 在 添加 IP 通道 页面中,设置以下参数:
- 名称
- 远程 IP
- 远程掩码
- 本地 IP 类型(在本地 IP 类型下拉列表中,选择 子网 IP)。
- 本地 IP(选定 IP 类型的所有已配置 IP 地址都在“本地 IP”下拉列表中。从列表中选择所需的 IP。)
- 协议
- IPsec 配置文件
- 单击“创建”,然后单击“关闭”。
使用 GUI 创建 PBR 规则并将 IPSEC 通道绑定到该规则
- 导航到“系统”>“网络”>“PBR”。
- 在 PBR 选项卡上,单击 添加。
- 在 创建 PBR 页面中,设置以下参数:
- 名称
- 操作
- 下一跳类型(选择 IP 通道)
- IP 通道名称
- 来源 IP 不足
- 来源 IP High
- 目标 IP 不足
- 目标 IP 为高
- 单击“创建”,然后单击“关闭”。
NetScaler 设备上相应的新 CloudBridge Connector 通道配置显示在 GUI 中。CloudBridge Connector 通道的当前状态显示在“已配置的 CloudBridge Connector”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。
以下命令在“CloudBridge Connector 配置示例”中创建 NetScaler 设备 NS_Appliance-1 的设置。:
> add ipsec profile NS_F5-BIG-IP_IPSec_Profile -psk examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE
Done
> add iptunnel NS_F5-BIG-IP_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_F5-BIG-IP_IPSec_Profile
Done
> add pbr NS_F5-BIG-IP_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_F5-BIG-IP_Tunnel
Done
> apply pbrs
Done
<!--NeedCopy-->
监视CloudBridge Connector 通道
您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅 监视 CloudBridge Connector 通道。
共享
共享
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.